Il Centro di Valutazione e Certificazione Nazionale (CVCN) è l’organismo cui compete la valutazione e certificazione della cybersicurezza delle risorse informatiche in uso presso soggetti esercenti funzioni o servizi essenziali per lo Stato. Si tratta di una funzione prevista dalla disciplina del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e assegnata al CVCN dal d.l. 105 del 2019 (art. 1, co. 6), convertito con modifiche nella legge n. 133/2019. L’elenco dei soggetti esercenti funzioni o servizi essenziali è contenuto nel decreto attuativo di tale disposizione, cioè il DPCM 15 giugno 2019.
Per le funzioni assegnategli, il CVCN riveste un ruolo centrale nella strategia di cybersicurezza italiana in quanto contribuisce a prevenire rischi legati alla crescente dipendenza da tecnologie digitali, e a proteggere la sovranità tecnologica nazionale.
Si tratta di un ente originariamente istituito presso l’Istituto Superiore delle Comunicazioni e Tecnologie Informatiche (ISCTI) del Ministero dello sviluppo economico, che è oggi confluito presso l’Agenzia nazionale per la cybersicurezza.

Oltre alle funzioni operative di valutazione e certificazione della cybersicurezza, il Centro collabora con gli enti europei e internazionali che si occupano di armonizzazione degli standard di cybersicurezza, favorendo così anche lo scambio di informazioni sui caratteri delle minacce emergenti.

Il CVCN supporta mediante la propria attività di valutazione il Gruppo di coordinamento per l’esercizio dei poteri speciali. In particolare, cura l’analisi degli aspetti tecnici di cybersicurezza legati alla tecnologia 5G e, in previsione, si occupa dei settori tecnologici che saranno inclusi nella disciplina Golden Power a seguito delle recenti modifiche normative (cfr. l’art. 1-bis del d.l. n. 21 del 2012).
Per le funzioni di monitoraggio si avvale dei Laboratori accreditati di prova (LAP), centri accreditati dallo stesso CVCN (cfr. l’art. 1, co 7 del d.l. n. 105 2019).